AppScan执行阶段策略：分阶段测试与任务分解

"该文档是关于德米特dm3系列伺服驱动器应用的手册，主要讲解了执行阶段的测试策略，特别是如何使用IBM的Rational AppScan进行分阶段测试和任务分解，以优化大型网站的安全扫描。AppScan是一款用于Web应用安全测试的工具，能够自动检测并提供安全报告。" 在执行阶段，AppScan的扫描过程分为"探索"和"测试"两个关键阶段。默认情况下，AppScan采用完全扫描模式，即边探索边测试。对于大型网站，推荐采用先探索后测试的模式，以提高效率。当URL数量达到一定规模，如5000个，且需要测试的用例数超过50000个时，可暂停扫描，手动停止探索，然后选择"继续仅测试"，对已发现的页面进行测试。完成测试后，再选择"继续仅探索"，如此循环进行。 在进行分阶段测试时，需要注意监控`.Scan`文件的大小。如果文件大小超过500MB，应考虑任务分解，可以依据目录或扫描策略将一个大任务拆分成多个小任务。这种方法利用了AppScan的探索和测试可以分开执行，并支持中断后继续扫描的功能。 此外，实际操作中，大型网站通常包含多个频道，每个频道可能需要不同的扫描配置。例如，一个网站的BBS论坛页面结构相同，只需通过"冗余路径限制"参数来控制扫描次数，避免重复扫描。对于接受参数的Web服务，如内容频道，需要考虑参数的可行性及验证方式，确保安全。 在评估和准备阶段，应识别需要保护的Web服务资源，理解其安全风险，明确安全需求。这包括但不限于：确认访问是否需要认证、权限检查、参数校验、消息体中的敏感信息处理、数据传输和存储的安全性，以及与第三方应用的交互安全。这些评估结果将指导后续的安全设计和实现。 在安装AppScan时，推荐的硬件配置包括Pentium 4 2.4GHz处理器、2GB RAM以及30GB磁盘空间。内存和处理器建议更高配置，系统盘至少保留10GB空间。安装环境需具备配置好的TCP/IP网络通信。 安装AppScan 9.0版本时，可以从指定来源获取安装包。在安装前，应检查硬件配置是否满足上述要求，同时注意系统盘的空间分配，以确保AppScan能正常运行并保存用户文件。